Klantgegevens van juwelier Brandfield waren openbaar toegankelijk

De persoonsgegevens van 60.000 klanten van de Nederlandse juwelier Brandfield waren openbaar toegankelijk. De cloudomgeving waar deze gegevens opgeslagen waren, was niet beveiligd. Het probleem is volgens Brandfield intussen opgelost.

Het gaat om de gegevens van klanten die tussen 2018 en 2020 een bestelling bij de juwelier hebben geplaatst. Het datalek werd door de redactie van BNR ontdekt met behulp van de scantool Gray Hat Warfare. De juwelier heeft vrijdag het probleem opgelost en een melding gemaakt bij de Autoriteit Persoonsgegevens. Getroffenen worden volgens de juwelier nog ingelicht over het incident. Het is niet duidelijk of kwaadwillenden daadwerkelijk iets met de openbare gegevens hebben gedaan en om welke informatie het precies gaat. Brandfield is een Nederlandse online juwelier met tevens twee vestigingen in Noord-Brabant.

Reacties (76)

LigeTRy 20 februari 2024 08:16

van de scantool Gray Hat Warfare

Deze bewuste tool indexeert "publieke" buckets van onderandere Amazon, Azure en Google. Waarschijnlijk is de oorzaak een klassiek configuratiefoutje.

Webgnome 20 februari 2024 08:23

De vraag is natuurlijk of dat Branfield de servers zelf in beheer heeft of dat via een software leverancier in beheer heeft. In de laatste geval, hoewel nog steeds slecht, is het de softwareboer aan te rekenen dat dit gebeurde. Immers die zouden zeker beter moeten weten.

downtime @Webgnome • 20 februari 2024 09:08

Het werk uitbesteden ontslaat je niet van verantwoordelijkheid. Jij bent immers ook degene die ervoor koos om zaken met die leverancier te doen. Waarschijnlijk na een inschrijving waar die leverancier als goedkoopste uit kwam.

TimmiX @downtime • 20 februari 2024 09:42

Oprechte vraag: Is dat echt zo? Als je bijvoorbeeld je badkamer laat verbouwen door een loodgieter dan ben je toch ook niet eindverantwoordelijk voor de kwaliteit? Als er iets mis is, dan leg je dat voor aan die partij. Je gaat ter goede trouw uit van de kennis en kunde van een externe partij juist omdat je er zelf niet genoeg kennis van hebt. Ditzelfde geldt voor IT zaken en helemaal zodra het om security issues gaat. Je kunt onmogelijk van iedereen verwachten dat men overal verstand van heeft om alle risicos te (her)kennen en te overzien. Dat is juist de reden om werk uit te besteden aan professionals. Juist zodat het goed gebeurd.

[Reactie gewijzigd door TimmiX op 22 juli 2024 14:11]

Epsilon @TimmiX • 20 februari 2024 09:49

Analogieën gebruiken om een punt te maken zorgt voor discussie over de correctheid van de analogie, dus ook hier

.

De loodgieter is de leverancier van de software in je verhaal. Jij bent de eigenaar van je huis. En de onderbuurman die last heeft van de lekkage de 60000 gedupeerden.

Jij bent verantwoordelijk voor de lekkage waar de buurman last van hebt, ook weet jij niets van kranen af. Je kan je buurman niet verwijzen naar de loodgieter

flaskk @Epsilon • 20 februari 2024 12:09

Loodgieter is iets waar je zelf achter komt, een foutieve instelling op een server zou een klant nooit te weten komen. Behalve als een pentest wordt afgenomen o.i.d

Als jij bij de garage bent geweest en garagist heeft een grove fout gemaakt zodat je vervolgens 3 mensen plat rijdt ben jij toch niet verantwoordelijk? niemand laat zijn auto controleren bij een externe partij voor eventuele montage fouten(pentest)

kodak

Datalek
Nederland
Beveiliging en antivirus
Privacy

@flaskk • 20 februari 2024 12:30

"Niemand laat zijn ... controleren door een externe partij" is nu juist waarom de wet strenger is geworden voor verantwoordelijkheid moeten nemen bij persoonsgegevens.
De klanten hebben een relatie met het bedrijf, dat bedrijf kan de verantwoordelijkheid niet zomaar afschuiven op wie ze inhuren.

Tweakert2020 @flaskk • 20 februari 2024 13:06

Bij de auto kom je er ook zelf achter toch? Wellicht op een iets minder fijne manier maar toch

Aldy @Epsilon • 20 februari 2024 15:34

Je hebt jammer genoeg je punt niet afgemaakt. Je onderbuurmannen (60 000 stuks) hebben niets met jouw loodgieter te maken, alleen met jou. Jij bent naar hun toe verantwoordelijk voor de schade. MAAR, jij kunt daarna wel de schade op de loodgieter verhalen. Ik vind het overigens altijd heerlijk als mensen een analogie gebruiken, het maakt het ook duidelijk voor mensen die niet weten hoe iets werkt.

Epsilon @Aldy • 20 februari 2024 17:52

Het was mijn punt niet

. Je hebt gelijk dat je de schade kan proberen te verhalen. Het punt over de aannemer hierboven was ook valide en ik weet dan weer niet of het een het ander uit sluit.

Offtopic: je hebt gelijk ik het geval van een perfecte analogie. Maar een argument zonder naar een analogie te hoeven grijpen is beter. Je raakt dan niet verzand in elk geval waar de analogie afbreekt. Het gaat dan niet meer over het punt waar het origineel over ging

.

For the record: Deze analogie met de loodgieter was eenvoudig genoeg om gebruikt te worden.

[Reactie gewijzigd door Epsilon op 22 juli 2024 14:11]

benme @Epsilon • 20 februari 2024 13:22

Volgens mijn verzekering en juridische ondersteuning was dit in een soortgelijke persoonlijke ervaring niet zo. Mijn buurman moest wel degelijk met mij aannemer in contact wegens schade aan zijn aanpalend pand, ik stond daar formeel gezien buiten.

Aldy @benme • 20 februari 2024 15:38

Misschien zaten jouw aannemer en jij bij dezelfde verzekeringsmaatschappij en is het voor de maatschappij goedkoper om jouw deel ertussenuit te halen. Normaal is het dat jouw buurman niets met jouw aannemer te maken heeft, alleen met jou en dat jij het moet verhalen op je aannemer.

ShittyOldMan @TimmiX • 20 februari 2024 09:53

Naar de klant toe lijkt mij de juwelier wel verantwoordelijk. Net zoals dat de loodgieter jou niet moet doorsturen naar de fabriek als de kraan op dag 1 al lekt.

downtime @TimmiX • 20 februari 2024 09:52

Verhuur jij je badkamer? Zo ja, dan ben je eindverantwoordelijk, want je levert als ondernemer een product aan een consument. Gebruik je die badkamer zelf dan is het een ander verhaal. Ofwel: Je vergelijkt nu appels en peren.

Als consument mag ik van een webshop verlangen dat mijn gegevens daar veilig zijn. Of zij hun IT hebben uitbesteed of niet is hun probleem. Bij een storing komen ze er niet mee weg om mij het telefoonnummer van hun leverancier te geven en te zeggen dat ik daar maar moet klagen.

TimmiX @downtime • 20 februari 2024 11:09

Duidelijk verhaal, dank voor de toelichting! Je hebt gelijk dat mijn voorbeeld inderdaad appel met peren vergelijken is.

Blijft mijn vraag wel of het de juwelier in dit geval aan te rekenen is dat er iets niet op orde is. Juridisch waarschijnlijk wel inderdaad, omdat zij eindverantwoordelijk zijn. Maar realistisch gezien hadden zij (hoogstwaarschijnlijk) geen enkele aanwijzing dat er überhaupt een risico was. Je kunt niet van ieder bedrijf, winkel, vereniging of stichting verwachten dat zij security-experts in dienst nemen om diensten en software dat zij gebruiken of laten ontwikkelen te controleren. Dat is simpelweg niet rendabel en realistisch.

Om even terug te komen op mijn appels-en-peren voorbeeld van de loodgieter voor de badkamer. Als er lekkage is ontstaan waardoor de volledige appartement (incl inboedel) onder de jouwe verwoest is door de waterschade, dan moet de buurman inderdaad bij jou aankloppen, maar uiteindelijk moet jij ook verhaal gaan halen bij de loodgieter die overduidelijk slecht werk heeft geleverd en wel degelijk een verantwoordelijkheid heeft voor het opgeleverde werk. Dan mag onderzoek uitwijzen of het door een fout van de loodgieter komt of dat het door een foutief product komt, waarna ook die partij blaam betreft.

Redelijkerwijs kan niet de eigenaar van de badkamer kunnen worden aangewezen als schuldige, alhoewel wel eindverantwoordelijk. Anders kan iedereen altijd prutswerk opleveren zonder consequenties. Dat maakt dit soort zaken vaak wel wat wrang en veel gecompliceerder dan dan de eindverantwoordelijke daadwerkelijk alle blaam betreft.

downtime @TimmiX • 20 februari 2024 11:37

Je kunt niet van ieder bedrijf, winkel, vereniging of stichting verwachten dat zij security-experts in dienst nemen om diensten en software dat zij gebruiken of laten ontwikkelen te controleren. Dat is simpelweg niet rendabel en realistisch.

Dat is een keuze van die organisatie zelf. Zij moeten zelf bepalen of hun reputatie waarde heeft. Als zij het risico willen nemen dat hun reputatie kapot gaat vanwege een onderaannemer die zijn werk niet goed doet moeten ze dat zelf maar weten. Ondernemersrisico noem je dat.
Ik heb bij (grote) bedrijven gewerkt die hun IT hebben uitbesteed maar die hielden hun security team wel in eigen huis. Want als het bij een grote onderneming fout gaat staat jouw naam (bij wijze van spreken) op de voorpagina van de Telegraaf.

Aldy @downtime • 20 februari 2024 15:44

In tegenstelling tot de onderbuurman die daadwerkelijke schade heeft, is dit een totaal ander verhaal. In het geval van dit beveiligingsprobleem moeten de klanten bewijzen dat ze schade geleden hebben door dit lek.

g86 @TimmiX • 20 februari 2024 11:11

Brandfield is verantwoordelijk en kan de schade etc verhalen op de externe partner.
Maar wat is er contractueel overeengekomen? Wat zijn de voorwaarden?

[Reactie gewijzigd door g86 op 22 juli 2024 14:11]

downtime @g86 • 20 februari 2024 11:41

Het contract bepaalt of ze schade op de externe partner kunnen verhalen. Grote kans dat daar een clausule in staat waardoor de leverancier alleen aansprakelijk is voor directe schade maar niet voor indirecte schade zoals verlies van reputatie of omzet.

Tozz @TimmiX • 20 februari 2024 17:28

> Als je bijvoorbeeld je badkamer laat verbouwen door een loodgieter dan ben je toch ook niet
> eindverantwoordelijk voor de kwaliteit?

Jawel. Als jij je badkamer laat verbouwen en vervolgens jouw woning aan mij verkoopt, en alles aan die badkamer lijkt zo lek als een mandje dan kom ik bij jou klagen. Niet bij jou loodgieter. Of jij vervolgens gaat klagen bij die loodgieter is aan jou, maar dat is voor mij niet relevant.

Hier hetzelfde.. Ik als klant voer mijn gegevens in in een website van de juwelier. Hoe of bij wie die Juwelier dat opslaat is voor mij niet relevant. De juwelier is mijn aanspreekpunt.

SuperDre @downtime • 20 februari 2024 09:57

Tja, zo simpel is het niet. Men huurt die anderen in omdat men zelf niet de kennis heeft. In eerste instantie is tuurlijk degene die het inhuren doet wel verantwoordelijk, maar uiteindelijk zal die dat dan verhalen op de ingehuurde. Of weet jij alles dat jij alles kunt maken en controleren?

downtime @SuperDre • 20 februari 2024 10:18

Nee. Dat is ook wat ik bedoelde. Als leverancier ben jij als enige verantwoordelijk tegenover jouw klant. Maar de bedrijven die jij inhuurde zijn weer verantwoordelijk tegenover jou.

Aldy @downtime • 20 februari 2024 15:51

Ja, het is een keten, maar je kunt de individuele schakels er niet tussenuit halen. Je zal de hele keten moeten doorlopen.
Soms is de wet om die reden speciaal aangepast: ketenaansprakelijkheid. Dat betekende dat de hoofdaannemer verantwoordelijk is voor alle werklui, ook die bij een onderaannemer werkten. Onderaannemers gebruikten toen vaak illegale werklieden in de bouw. Maar dat is hier niet het geval.

Patriot @downtime • 20 februari 2024 10:00

Het probleem hier is het verschil tussen de juridische aansprakelijkheid en de morele verantwoordelijkheid. Je bent niet altijd moreel verantwoordelijk voor de geleden schade, maar wel gewoon juridisch aansprakelijk. Dat wil zoveel zeggen dat je de gedupeerden niet simpelweg kunt doorverwijzen naar je onderaannemer, maar afhankelijk van de situatie is de kans wel groot dat jij op jouw beurt die onderaannemer juridisch aansprakelijk kunt stellen.

Saven @Webgnome • 20 februari 2024 09:29

Brandfield is gewoon een grotendeels uitbesteed Magento shopje. Kan elke huis-tuin-en-keuken-hobbyist in theorie in elkaar zetten. En dat is meteen het probleem. Je data is vrijwel gegarandeerd niet veilig bij zulke webshops. Zowel het bedrijf zelf als de webbouwer rommelen vaak maar wat aan. Iets met zo min mogelijk kosten willen maken en je agency kiezen op basis van laagste prijs. Dat geldt helaas ook voor veel andere grote shops, waarvan ik denk ik maar beter geen namen kan noemen.

Zelf bestel ik om deze reden al een aantal jaar eigenlijk alleen nog maar bij Coolblue/Amazon/Bol of bij een niet-shady shop die draait bij een (closed source) cloudaanbieder. Die partijen hebben techniek/ontwikkeling en security wel als hoge prioriteit. Overigens bedoel ik met cloudaanbieder een partij als Shopify en niet bedrijven die hun Magento shopje "in de cloud" hosten. Dat 90% van de webshops op Shopify van die shady dropshippers zijn is overigens weer een ander verhaal

Forte @Saven • 20 februari 2024 09:41

Moet eerlijk zeggen dat je reactie nogal vol vooroordelen zit, ook een Coolblue/Amazon/Bol zijn niet feilloos. Alle online partijen hebben te maken met software en hardware die door derde partijen geleverd wordt, dat kan van een NPM package zijn tot de daadwerkelijke hosting. Als er ergens in die schakel sprake is van een lek of zwakte, dan kan je shop nog zo goed in elkaar zitten maar ben je nog steeds niet 100% veilig.

Een Magento bij voorbaat onveilig noemen vind ik dan ook kort door de bocht, het is weliswaar open source, maar daardoor worden mogelijke lekken ook snel gefixed. Dat sommige agency's aankloten ben ik wel met je eens, maar dat ligt dan vaak aan de laag die bovenop Magento ligt als men gebruikt maakt van een headless webshop.

Begrijp dat in dit geval van Brandfield gaat om een backup die openbaar op een bucket stond, dat heeft dus helemaal niks te maken met de shop of dat het een Magento shop is.

CodeCaster @Forte • 20 februari 2024 10:16

Er zijn tienduizenden webshops in Nederland alleen al, waarvan het zelf-gehoste merendeel voor een dubbeltje op de eerste rang wil zitten.

IT wordt daarbij beschouwd als een kostenpost, hosting maar duur, updates onnodig, backups ver te zoeken en AVG bestaat niet.

Of het draait op een Frankensteins monster van plugins rond WordPress, of op een niet-ondersteunde Magento ("Maar het werkt toch?") en al het geregel rond hosting en data levert gezeur over tientjes op.

Niet dat het bij een gehoste oplossing zoals Shopify beter is, want als plugin-bouwer moet je dan wel AVG-endpoints inbouwen, maar het enige dat gecontroleerd wordt is of die aanroepen geen foutmeldingen oplevert.

Niemand checkt wat er met jouw data gebeurt, absoluut niemand.

[Reactie gewijzigd door CodeCaster op 22 juli 2024 14:11]

Saven @CodeCaster • 20 februari 2024 10:49

Precies dit inderdaad

Goed punt overigens van de plugins, maar: die worden natuurlijk niet altijd en allemaal gebruikt, de meeste van die plugins slaan niet echt persoonsgegevens op, en bij degene die dat wel doen gaat dat vrijwel uitsluitend om een e-mailadres. Daarnaast heb je dat ook zelf in de hand, als je wordt gevraagd om je e-mailadres achter te laten voor korting

@Forte het probleem is zeker niet Magento op zichzelf, maar de mensen die er meer aan de gang gaan en hoe zij dat doen. Hoe "bekender" een product, hoe meer koekenbakkers er tussen de dienstverleners zitten.

Ik garandeer je dat dit bij de drie partijen die ik noemde wél op orde is. Daar zitten teams dedicated aan de ontwikkeling en worden ook security tests uitgevoerd. Dat wordt bij 99.99999% van de open source shopjes niet wordt gedaan

Forte @Saven • 20 februari 2024 11:04

100% eens dat er genoeg koekenbakkers zijn die webshopjes bouwen haha, en shops op basis van Wordpress ga ik ook met een grote boog omheen.

Maar ik weet ook dat het anders kan. Één van de websites waar ik product owner van ben is een webshop van redelijk formaat die draait op Magento als headless instantie. Alleen al voor de Thuiswinkel certificering en voor de accountants audit wordt deze shop 2x per jaar volledig doorgetest door professionele testers/white hat hackers, daarnaast wordt er constant alles gelogd en gemonitord op afwijkingen. Dus denk dat je best kan stellen dat het op orde is.

Maar ook hier durf ik niet met 100% te zeggen dat het volledig waterdicht is, er zijn helaas ook heel veel slimme jongens die kwaad willen. Ik ben van mening dat als men het echt wil, er altijd wel een manier is om iets te hacken, dan wel via social engineering/hacking of via hardware.

Dat je een backup zelf volledig open op een bucket gooit, dat is natuurlijk gewoon super dom. Vergelijkbaar met keys of tokens openbaar neerzetten. Dan kan je nog zulke goeie code of tests doen, als je bucket vol staat met openbare data ben je natuurlijk gauw de sjaak.

Tozz @Forte • 20 februari 2024 17:32

Aan al die pentests op je webshop, je uitgebreide logging en monitoring zijn allemaal zinloos als je vervolgens een github bucket of iets dergelijks open hebt. Zoiets lijkt hier het geval te zijn geweest.

Da's ook een beetje het gevaar.. Je kunt je heel erg focussen op de voorkant (je webshop) qua security, en tegelijkertijd je achterdeur wagenwijd open hebben staan.

Dit is geen technische fout, maar een administratieve/configuratiefout. Wellicht onvoldoende actuele kennis. Dat soort zaken zijn veel lastiger te voorkomen en op te speuren dan technische fouten.

Dennis de Vries Redacteur @Saven • 20 februari 2024 10:38

Je begrijpt dat 90% van de spullen die je koopt op Bol of Amazon afkomstig zijn van third party verkopers? Veelal zijn dit 'snelle jongens' van begin jaren 20. Denk je dat zij wel goed met jouw data om gaan?

Saven @Dennis de Vries • 20 februari 2024 10:39

Dat was inderdaad niet duidelijk in mijn post, maar die vermijd ik als de pest inderdaad

Hoewel niet bevorderlijk voor de economie zou ik ook dat iedereen aanraden.

Quintiemero @Webgnome • 20 februari 2024 08:47

Brandfield is gewoon verwerkinsverantwoordeijke hoor en ook verantwoordelijk dat de juiste maatregelen zijn genomen. Dan had ze haar leverancier goed moeten controleren.

RogerWilco2 @Webgnome • 20 februari 2024 10:41

Het probleem met aanbestedingen is dat je er eigenlijk nog meer van moet weten dan als je het zelf doet. Anders zet je niet de juiste eisen in de aanbesteding.

En jij bent nog steeds verantwoordelijk voor de privacy van je klanten, ook als je een externe verwerkingsovereenkomst hebt. Mogelijk had je daar zelfs expliciet toestemming van de klanten voor moeten vragen, want de AVG geld vanaf 25 mei 2018.

[Reactie gewijzigd door RogerWilco2 op 22 juli 2024 14:11]

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Nederland
Datalek

@RogerWilco2 • 20 februari 2024 13:07

Het probleem met aanbestedingen is dat je er eigenlijk nog meer van moet weten dan als je het zelf doet. Anders zet je niet de juiste eisen in de aanbesteding.

Dit heb ik pijnlijk vaak langs zien komen. Ofwel laat de aanbesteding veel ruimte voor onverwachte uitkomsten zodat je niet krijgt wat je wil, ofwel is de aanbesteding zo strak opgesteld dat je het net zo goed zelf kan doen,

Om een aanbesteding (of zelfs een gewone bestelling) goed te doen heb je veel kennis nodig om het juiste IT-product te kopen. Als je die zelf niet hebt kun je in principe een consultant inhuren om het voor je te doen, maar hoe vind je een goede consultant als je zelf geen kennis van vakgebied hebt? Daar zijn ook weer bureau's voor die de juiste consultant bij jouw probleem zoeken maar kun je die consultant uberhaupt de juiste opdracht en informatie geven als je zelf niks van het ondewerp weet?

Het is geen nieuwe probleem en Agile is een bekende methode om met die onzekerheid om te gaan, maar voor aanbestedingen is het maar lastig omdat je dan geen doel kan stellen waardoor het lastig wordt om partijen te vergelijken. Je kan dat indirect doen door bv het niveau en de prijzen van de programmeurs te vergelijken maar daar heb je weer IT-kennis en ervaring voor nodig.

Voor de duidelijkheid, het probleem heeft eigenlijk niks met aanbestedingen te maken, het gaat om inkopen in het algemeen. Aanbestedingen zijn een vrij onhandige vorm van inkopen maar helaas noodzakelijk, dat is echter een politiek/economische-discussie die niks met techniek te maken heeft.

Ook is het probleem op zich niet uniek voor IT, overal worden er afwegingen gemaakt tussen inkopen en zelf doen. Over het algemeen heeft inkopen de voorkeur (je weet wat je krijgt en wat het kost en het is gemaakt door experts), maar dan moet je wel de juiste bestelling kunnen doen. Door gebrek aan wettelijke normen en beperkende licentievcoorwaarden kun je bij de meeste IT-projecten nergens op vertrouwen. Er zijn wel wat standaarden maar die richten zich heel erg op de basis en als outsider kun je het niet beoordelen. De overheid begint voorzichtig eisen te stellen (zoals de AVG) maar dat is nog lang niet genoeg om er op te vertrouwen. Dat is heel anders dan bv een auto waarbij je er van uit kan gaan dat een nieuwe auto voldoet aan alle wettelijke eisen en daarom redelijk veilig is.

cpt Iglo @Webgnome • 20 februari 2024 10:51

indien ze het niet zelf in beheer hebben maar uitbesteden bestaat er ook nog de kans dat de fout zich bij andere partijen herhaalt of al is misbruikt,

Dasprive 20 februari 2024 08:15

In 3-2-1 de klassieker “geen bewijs dat er onterecht toegang is verkregen tot de data” in de datalekmelding.

Het stond openbaar op internet, natuurlijk kreeg men er toegang toe. Maar omdat ze geen logs hebben “is er geen bewijs”.

lenwar

Nederland
Beveiliging en antivirus

@Dasprive • 20 februari 2024 08:28

Dat is toch echt te kort door de bocht.
Als mijn deur niet op slot is, wil niet zeggen dat er per se iemand in mijn huis is geweest.

Ze stellen ook niet dat er niemand bij de data is geweest, ze zeggen dat ze er geen bewijs voor hebben. (dus in de beschikbare logs staat er niets dat daar op duidt)
Ze zeggen niet dat ze bewijs hebben dat het niet zo is.

Dit gezegd hebbende is het natuurlijk niet onaannemelijk dat er wel iets is gebeurd. Als zelfs BNR iets heeft gevonden, is het aannemelijk dat kwaadwillenden er ook achter kwamen.

locke960 @lenwar • 20 februari 2024 12:36

Ik vind eigenlijk dat uitspraken als “geen bewijs dat er onterecht toegang is verkregen", zonder verdere toelichting of motivatie, verboden zouden moeten worden. Dat is een betekenisloze kreet en wat mij betreft een vorm van misleiding.

Data is gecompromitteerd, tenzij je het tegendeel kunt bewijzen of, op zijn minst, aannemelijk kunt maken.

lenwar

Nederland
Beveiliging en antivirus

@locke960 • 20 februari 2024 13:07

Dat is wat mij betreft een te liberale benadering. Althans. Als je het over alle data hebt.

Dus alle foto’s op mijn telefoon zijn gecompromitteerd totdat ik kan bewijzen dat het niet zo is? (Of ik dat aannemelijk kan maken)

StackMySwitchUp @Dasprive • 20 februari 2024 08:36

*wijst knikkend naar dit bericht*

of "We hebben nog niet gekeken naar de logs, maar we hebben geen bewijs gevonden" en dan allerlei arbitraire restricties bedenken waarom je ICT'ers bepaalde dingen moeten negeren.

Er zouden wat meer due diligence regels moeten komen om dit soort problemen te voorkomen.

familyman @StackMySwitchUp • 20 februari 2024 09:04

Nog los van de vraag of ze lang genoeg logs hebben om dit überhaupt nog te weten over de hele periode.

Wees dan eerlijk, en zeg dat de fout dusdanig is dat je het niet kan weten maar dusdanig is dat het wel aangenomen moet worden.

Zou zo maar kunnen dat je daardoor een boete krijgt. Maar als je je billen brandt, moet je op de blaren zitten.

Dj-sannieboy

20 februari 2024 08:29

Jammer dat ik dit hier moet lezen in plaats van dat ze een mail sturen naar de klanten die een bestelling hebben gedaan tussen 2018 en 2020.

lenwar

Nederland
Beveiliging en antivirus

@Dj-sannieboy • 20 februari 2024 08:46

Het was vanmorgen ook op het ochtendnieuws op NPO. (Het staat ook op nos.nl)
In het artikel staat:

Getroffenen worden volgens de juwelier nog ingelicht over het incident.

Ik vind het juist een fijn idee dat ze het direct naar buiten brengen in een persbericht (of allicht kwam het oorspronkelijk van BNR, dat kan natuurlijk ook). Zo krijgt iedereen zo snel mogelijk de informatie. Ze moeten nu natuurlijk eerst nog een lijst maken van iedereen die daadwerkelijk getroffen is.

Vanwege de AVG zullen ze die informatie iets minder makkelijk bij elkaar kunnen sprokkelen. (want ze mogen tenslotte de data (als e-mail adressen) alleen maar opslaan voor bepaalde doeleinden.)

The Zep Man

Beveiliging en antivirus
Datalek
Privacy
Nederland

@lenwar • 20 februari 2024 08:56

Ze moeten nu natuurlijk eerst nog een lijst maken van iedereen die daadwerkelijk getroffen is.

Het gaat om de gegevens van klanten die tussen 2018 en 2020 een bestelling bij de juwelier hebben geplaatst.

Die lijst hebben ze al. Zie de gelekte gegevens.

lenwar

Nederland
Beveiliging en antivirus

@The Zep Man • 20 februari 2024 09:15

Goed punt

[grapje]
Maar mogen ze die gegevens ook een op een gebruiken hiervoor van de AVG?

[/grapje]

Ik las op de NOS dat het ging om "een back-up van de bestellingen van 2018 tot 2020". Dat is natuurlijk redelijk breed, maar wel afgekaderd.

Voor garantiedoeleinden hebben ze die gegevens normaal gezien niet meer nodig. Dat betekent dat de data zeer waarschijnlijk ergens in een soort archief zou moeten staan. Daar moeten ze nu dus een lijst van e-mailadressen met eventueel bijbehorende naamgegevens bij zien te halen. (afhankelijk van hoe ze willen communiceren)

Stel dat ze echt alleen maar PDFs hebben, dan kan dat wel een gedoe zijn om daar een mailinglist van te maken. Uiteraard zeer goed mogelijk, maar wel meer gedoe dan dat ze bijvoorbeeld een dumpje kunnen maken uit een database.

ShadLink 20 februari 2024 09:54

We moeten echt af van een account bij elke webshop. Een webshop zou enkel een betaling moeten verwerken, pakketje versturen en dan vergeten dat de gebruiker ooit heeft bestaan. Natuurlijk moet het offline voor de belastingdienst gergestreerd worden, maar dan zonder naam, adres of e-mailadres.

ouweklimgeit @ShadLink • 20 februari 2024 10:08

Bedrijven moeten 7 jaar een administratie bijhouden en dat kan alleen met de juiste gegevens van de klant. Ik bestel al jaren met fictieve namen, maar het afleveradres kun je niet omheen. Althans, waar mogelijk een PostNL pakketautomaat gebruiken zodat je werkelijke adres niet in de administratie terecht komt.

ShadLink @ouweklimgeit • 20 februari 2024 10:26

En dat vind ik toch wel vreemd. Als ik in een fysieke winkel iets koop weet de winkel ook niet mijn naam of mijn adres. Enkel mijn rekeningnummer. Dus wat mij betreft word de wet daarop aangepast. Tot dat moment moeten die gegevens niet op een server staan die met het internet verbonden is, vind ik. Dan kan je nog bij de gegevens voor de belastingdienst, maar dan kan iemand van buitenaf nooit bij de gegevens komen.

m4ikel @ouweklimgeit • 20 februari 2024 10:50

Dat kan technisch prima, d.m.v. een audit functie (die zou je dan enkel aan een belastinginspecteur moeten kunnen overhandigen).

Tweakert2020 @ouweklimgeit • 20 februari 2024 13:15

Administratie bijhouden is kort door de bocht niks anders dan wat is er ingekocht en wanneer is het verkocht.
Aan wie maakt helemaal niks uit, en hoeft ook niet getoond te worden.

zjeeraar84 20 februari 2024 08:29

Ik heb een bestelling gedaan bij Brandfield in de genoemde periode. Ik zou graag actief door Brandfield geinformeerd willen worden over dit lek en welke gegevens zij van mij opgeslagen hebben zodat ik zelf ook actie kan ondernemen. Dit is het zoveelste datalek waar klanten dit via een publiek nieuwsbericht moeten vernemen in plaats van dat ze actief door de organisatie geinformeerd worden.

vickypollard @zjeeraar84 • 20 februari 2024 09:06

"Geen zorgen meneer! We kunnen met 100% zekerheid garanderen dat we niet hebben waargenomen dat iemand misbruik heeft gemaakt van het probleem."

HKLM_ 20 februari 2024 08:14

Het staat in de cloud, dan is het automatisch veilig!

Helaas zijn er nog steeds mensen die zo denken

[Reactie gewijzigd door HKLM_ op 22 juli 2024 14:11]

itaalol @HKLM_ • 20 februari 2024 08:20

Wil je dit toelichten?

Ik zal met een ander argument komen; Gegevens die in de cloud staan zijn zelfs veiliger dan bijvoorbeeld on-prem. Kijk naar hoeveel personeel bij de grote cloud aanbieders rondloopt die zich alleen al bezig houdt met de security. En vergelijk dat dan eens met een team van een paar systeembeheerders die een paar servers draaiende moet zien te houden ergens in de kelder van een bedrijf.

HKLM_ @itaalol • 20 februari 2024 08:23

Ho ho, ik zeg niet dat de cloud niet veilig is, ik zeg dat er mensen zijn die denken dat de cloud automatisch veilig is en ze dus niks meer hoeven te doen om deze veilig / veiliger te maken.

Ook in de cloud moet je gewoon je config doen, een gedeelte gaat automatisch maar veel settings / config moet je gewoon zelf regelen en daar gaat het regelmatig mis.

itaalol @HKLM_ • 20 februari 2024 08:37

Dan heb ik je verkeerd begrepen, excuses! Ik heb nog geen koffie gehad, mag ik dat als excuus gebruiken?

Daar heb je inderdaad gelijk in. Ik vind het vaak onduidelijk in de cloud wat de cloud provider doet en wat je zelf moet doen.

wildhagen

Beveiliging en antivirus
Nederland
Privacy
Datalek

@itaalol • 20 februari 2024 08:23

Ook in de cloud moet je zelf voor je beveiliging zorgen, iig deels.

Ja, de cloudprovider doet wat overkoepelend security-werk en bied daarvoor oa wat tools aan, maar die gaan echt niet elke individuele server van elke klant beveiligen, patchen (wat ook voor beveiliging is!), dat is toch echt aan de individuele klanten zelf. Net las het inhoudelijk beveiligingen van de database etc.

Ook het wel of niet instellen van dingen als 2FA is aan de klant zelf. De cloudprovier biedt de optie, maar forceert hem niet.

StackMySwitchUp @itaalol • 20 februari 2024 08:33

De grote valkuil bij cloudproviders is dat ze de verantwoordelijkheid bij de klant laten. Ze leveren een enorme set aan tools die men (vaak tegen betaling) kan gebruiken. De security-kosten/baten afweging moet men dan zelf maken. Dit is waar de denkfout vaak gemaakt wordt dat de default securityopties in de cloud "goed genoeg" zijn om jouw argumenten. Het is echter niet zo zwart/wit, en menig ICT'er is bekend met het moeten overtuigen van managers om bepaalde security-ingrepen gedaan te krijgen.

It's a jungle out there, en we doen allemaal ons best, maar een juwelier die klantgegevens lekt is wel echt een kwalijke zaak, want als het adres wordt gelekt van iemand die net een dure snuisterij heeft gekocht dan kun je er donder op zeggen dat er volgende week iemand voor de (achter)deur staat.

familyman @itaalol • 20 februari 2024 09:07

Je zou moeten zeggen, zou veiliger kunnen zijn.

Als je configuratie niet snapt, en je zet alles encrypted neer met de keys ernaast, en alle poorten open.

Dan gaat alle kennis en personeel van de cloudprovider je echt niet meer garanties geven dan on prem.

Key is, dat deze ervoor zorgen dat het veiliger - kan - zijn, dat wel.

alexbl69 @HKLM_ • 20 februari 2024 11:38

Mijn vraag is wat je er dan zelf aan kunt doen. Maak zelf zakelijk gebruik van Microsoft Dynamics, welke (volgens mij) gebruik maakt van Azure.

Welke invloed heb ik dan persoonlijk op de veiligheid van die gegevens?

HKLM_ @alexbl69 • 20 februari 2024 11:53

Ik ken Dynamics niet heel goed maar je zal daar denk ook aanmelden met je Entra ID account. Dan heb je dus ook te maken met Identity protection als Conditional Access etc wat je moet instellen.

Microsoft is wel begonnen met het afdwingen van conditional access maar in eigen beheer en weten hoe en wat om je identiteit veilig te houden is wel van belang.

SilentDecode @HKLM_ • 20 februari 2024 14:23

Het staat in de cloud, dan is het automatisch veilig!

In je dromen ook, ofniet?

Dat het op iemand anders z'n serverpark draait, betekend niet dat het automatisch direct veiliger is. Er is een hele lading aan spul wat je nog moet doen voordat het écht veilig is, maar dat gebeurt zeer zeker NIET automatisch.

HKLM_ @SilentDecode • 20 februari 2024 14:38

Anders lees je even verder dan dat ene zinnetje, ik zeg namelijk negens dat ik vindt dat de Cloud niet veilig is. Maar dat er veel mensen zijn die dat nog denken.

[Reactie gewijzigd door HKLM_ op 22 juli 2024 14:11]

JoHnnY-Btm 20 februari 2024 08:34

ahh daar gaan we weer, een firma die de beveiliging van klant gegevens niet op orde heeft.

daar zullen de betreffende klanten in de vorm van spam en fraude telefoontjes veel last van krijgen.

SamSid 20 februari 2024 08:55

In hoeverre kan je vragen om je gegevens weg te halen (na een tijd)? Is het weghalen van klantgegevens in strijd met de bewaarplicht bij de belastingdienst voor ondernemers?

Eigenlijk zouden ze de getroffen mensen standaard een schadevergoeding moeten geven voor deze nalatigheid.

[Reactie gewijzigd door SamSid op 22 juli 2024 14:11]

TheManiac 20 februari 2024 09:11

Nu ben ik toevallig gisteren gebeld door een persoon die mijn prive telefoonnummer gekoppeld had mijn zakelijk e-mailadres. Er heeft zich op één webshop een probleem voor gedaan, waarna ik met de klantenservice besproken heb om een ander e-mailadres te gebruiken.

Dit was Brandfield, voor mij overduidelijk dat er wel degelijk gegevens zijn gestolen.

Op dit item kan niet meer gereageerd worden.

Klantgegevens van juwelier Brandfield waren openbaar toegankelijk

Lees meer

Reacties (76)

Sorteer op:

Weergave: